【技术实现步骤摘要】
检测目标恶意软件的方法、装置、存储介质及电子设备
[0001]本专利技术涉及信息安全领域,特别是涉及一种检测目标恶意软件的方法、装置、存储介质及电子设备。
技术介绍
[0002]rootkit是一种特殊的恶意软件,其可以使攻击者能够以管理员身份访问电子设备,通常的rootkit是以内核模式进行工作的,并可以进行修改内核数据以及隐藏自身和相关程序等攻击行为。
[0003]目前检测操作系统是否已被rootkit攻击一般是通过操作系统中的安全防护软件实现的,安全防护软件可以将检测出操作系统是否已被rootkit攻击并展示检测结果。
[0004]但是,安全防护软件是安装在操作系统内的一种可执行文件,即使安全防护软件具有一定的防御能力,一些攻击能力较强的rootkit仍可以成功攻击安全防护软件,此时rootkit可以对安全防护软件相关的数据进行篡改,进而安全防护软件的rootkit检测方法甚至是检测结果都可以被篡改,因此对rootkit进行检测的检测结果的准确度较低。
技术实现思路
[0005]针对上述...
【技术保护点】
【技术特征摘要】
1.一种检测目标恶意软件的方法,其特征在于,所述方法包括:将目标操作系统中的每一系统调用接口对应的内核支持函数均作为目标内核支持函数;获取每一所述目标内核支持函数对应的可执行文件的文件路径;所述可执行文件存储于所述目标操作系统所在的电子设备的存储内存中;所述目标内核支持函数是由其对应的可执行文件加载至所述电子设备的运行内存中得到的;若任一所述文件路径与内核存储路径不符合预设的相似条件,则将所述目标操作系统确定为已被目标恶意软件攻击的操作系统;所述内核存储路径为所述目标操作系统的内核在所述电子设备的存储内存中的存储路径。2.根据权利要求1所述的方法,其特征在于,所述获取每一所述目标内核支持函数对应的可执行文件的文件路径,包括:获取每一所述目标内核支持函数的内存地址;获取每一所述内存地址在对应的可执行文件的文件路径,以得到每一所述目标内核支持函数对应的可执行文件的文件路径。3.根据权利要求1所述的方法,其特征在于,在所述获取每一所述目标内核支持函数对应的可执行文件的文件路径之前,所述方法还包括:确定每一所述目标内核支持函数对应的可执行文件是否已被隐藏;所述获取每一所述目标内核支持函数对应的可执行文件的文件路径,包括:若每一所述目标内核支持函数对应的可执行文件均未被隐藏,则获取每一所述目标内核支持函数对应的可执行文件的文件路径。4.根据权利要求1或3所述的方法,其特征在于,所述方法还包括:若任一所述文件路径与所述内核存储路径不符合预设的相似条件,则将与所述内核存储路径不符合预设的相似条件的每一文件路径对应的可执行文件均作为目标可执行文件;展示每一所述目标可执行文件对应的目标内核支持函数的内存地址,和/或每一所述目标可执行文件对应的系统调用接口标识,以及每一所述目标可执行文件的名称、基地址、偏移地址、文件内容数据的数据长度和/或文件路径;所...
【专利技术属性】
技术研发人员:靳山,孙博轩,李林哲,关墨辰,
申请(专利权)人:北京安天网络安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。